最新研究發現多個通道協定(tunneling protocols)存在資安漏洞,可能讓攻擊者有機會進行各種網路攻擊。這項由比利時魯汶大學教授兼研究員Mathy Vanhoef與Top10VPN合作進行的研究指出,
若網路設備在接受通道封包時未驗證發送者身份,可能被劫持用於匿名攻擊並讓攻擊者存取內部網路。
研究團隊發現約420萬台設備受到這些漏洞影響,受影響設備包括VPN伺服器、ISP家用路由器、核心網路路由器、行動網路閘道和內容傳遞網路(CDN)節點。中國、法國、日本、美國和巴西是受影響最嚴重的國家。
這些漏洞主要存在於IP6IP6、GRE6、4in6和6in4等通道協定中。這些協定主要用於促進兩個不相連網路之間的資料傳輸,但在沒有網際網路安全協定(IPsec)等額外安全措施的情況下,無法對流量進行身份驗證和加密。
美國CERT協調中心(CERT/CC)警告,攻擊者可能利用這些安全漏洞建立單向代理並偽造IPv4/IPv6來源位址。受影響的系統可能允許攻擊者存取組織的私有網路,或被濫用於執行DDoS攻擊。
這些漏洞已被分配以下CVE編號:
- CVE-2024-7595(GRE和GRE6)
- CVE-2024-7596(通用UDP封裝)
- CVE-2025-23018(IPv4-in-IPv6和IPv6-in-IPv6)
- CVE-2025-23019(IPv6-in-IPv4)
Top10VPN的Simon Migliano解釋攻擊方式,攻擊者只需發送一個使用受影響協定封裝的雙重IP標頭封包。外層標頭包含攻擊者的來源IP和目標主機的IP,內層標頭的來源IP則是易受攻擊主機的IP而非攻擊者的IP。當易受攻擊的主機收到惡意封包時,會自動移除外層IP標頭並轉發內層封包至目的地。由於內層封包的來源IP是來自受信任的主機,因此能夠繞過網路過濾器。
為了防範這類攻擊,專家建議:
- 使用IPSec或WireGuard提供身份驗證和加密
- 僅接受來自受信任來源的通道封包
- 在路由器和中間設備上實施流量過濾
- 執行深度封包檢測(DPI)
- 阻擋所有未加密的通道封包
專家指出這類DDoS攻擊可能導致網路壅塞、服務中斷,甚至造成網路設備過載崩潰。此外,這些漏洞還可能被用於中間人攻擊和資料攔截等進階威脅。
本文轉載自thehackernews。